기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Amazon Neptune을 위한 IAM 관리 정책문 생성
## 일반 관리 정책 예제
다음 예제는 DB 클러스터에서 다양한 관리 작업을 수행할 수 있는 권한을 부여하는 Neptune 관리 정책을 생성하는 방법을 보여줍니다.
### IAM 사용자가 지정된 DB 인스턴스를 삭제하지 못하도록 차단하는 정책
다음은 IAM 사용자가 지정된 Neptune DB 인스턴스를 삭제하지 못하도록 차단하는 예제 정책입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyDeleteOneInstance",
"Effect": "Deny",
"Action": "rds:DeleteDBInstance",
"Resource": "arn:aws:rds:{{us-west-2}}:{{123456789012}}:db:{{my-instance-name}}"
}
]
}
```
------
### 새 DB 인스턴스 생성 권한을 부여하는 정책
다음은 IAM 사용자에게 지정된 Neptune DB 클러스터에서 DB 인스턴스를 생성하도록 허용하는 정책 예제입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateInstance",
"Effect": "Allow",
"Action": "rds:CreateDBInstance",
"Resource": "arn:aws:rds:{{us-west-2}}:{{123456789012}}:cluster:{{my-cluster}}"
}
]
}
```
------
### 특정 DB 파라미터 그룹을 사용하는 새 DB 인스턴스를 생성할 권한을 부여하는 정책
다음은 IAM 사용자가 지정된 DB 파라미터 그룹만 사용하여 특정 Neptune DB 클러스터의 지정된 DB 클러스터(여기 `us-west-2`)에서 DB 인스턴스를 생성할 수 있도록 허용하는 예제 정책입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateInstanceWithPG",
"Effect": "Allow",
"Action": "rds:CreateDBInstance",
"Resource": [
"arn:aws:rds:{{us-west-2}}:{{123456789012}}:cluster:{{my-cluster}}",
"arn:aws:rds:{{us-west-2}}:{{123456789012}}:pg:{{my-instance-pg}}"
]
}
]
}
```
------
### 리소스 설명 권한을 부여하는 정책
다음은 IAM 사용자가 모든 Neptune 리소스를 설명할 수 있도록 허용하는 예제 정책입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDescribe",
"Effect": "Allow",
"Action": "rds:Describe*",
"Resource": "*"
}
]
}
```
------
## 태그 기반 관리 정책 예제
다음 예제에서는 DB 클러스터의 다양한 관리 작업에 대한 권한을 필터링하도록 태그를 지정하는 Neptune 관리 정책을 생성하는 방법을 보여줍니다.
### 예제 1: 여러 값을 취할 수 있는 사용자 지정 태그를 사용하여 리소스 작업에 대한 권한 부여
아래 정책은 `env` 태그가 `dev` 또는 `test` 중 하나로 설정된 모든 DB 인스턴스에서 `ModifyDBInstance`, `CreateDBInstance` 또는 `DeleteDBInstance` API를 사용할 수 있도록 허용합니다.
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDevTestAccess",
"Effect": "Allow",
"Action": [
"rds:ModifyDBInstance",
"rds:CreateDBInstance",
"rds:DeleteDBInstance"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"rds:db-tag/env": [
"dev",
"test"
],
"rds:DatabaseEngine": "neptune"
}
}
}
]
}
```
------
### 예제 2: 리소스에 태그 지정하는 데 사용할 수 있는 태그 키와 값 세트 제한
이 정책은 `Condition` 키를 사용하여 키 `env`와 값이 `test`, `qa`, `dev`인 태그를 리소스에 추가할 수 있도록 허용합니다.
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowTagAccessForDevResources",
"Effect": "Allow",
"Action": [
"rds:AddTagsToResource",
"rds:RemoveTagsFromResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"rds:req-tag/env": [
"test",
"qa",
"dev"
],
"rds:DatabaseEngine": "neptune"
}
}
}
]
}
```
------
### 예제 3: `aws:ResourceTag`를 기반으로 Neptune 리소스에 대한 전체 액세스 허용
다음 정책은 위의 첫 번째 예와 비슷하지만, `aws:ResourceTag` 대신 사용합니다.
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowFullAccessToDev",
"Effect": "Allow",
"Action": [
"rds:*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/env": "dev",
"rds:DatabaseEngine": "neptune"
}
}
}
]
}
```
------